在Linux系統中,要在執行revoke命令后進行審計跟蹤,可以使用auditd服務
auditd服務。在大多數Linux發行版中,可以使用包管理器(如apt、yum或zypper)來安裝。例如,在基于Debian的系統上,可以使用以下命令安裝:sudo apt-get install auditd audispd-plugins
auditd服務:sudo systemctl start auditd
sudo systemctl enable auditd
revoke命令的執行。編輯/etc/audit/rules.d/audit.rules文件,添加以下內容:-a exit,always -F arch=b64 -S revoke -k revoke_cmd
-a exit,always -F arch=b32 -S revoke -k revoke_cmd
這里,-a exit,always表示在每次系統調用結束時都會記錄事件;-F arch=b64和-F arch=b32分別表示針對64位和32位架構的系統調用;-S revoke表示監控revoke系統調用;-k revoke_cmd是自定義的關鍵字,用于在審計日志中過濾相關事件。
auditd服務以應用更改:sudo systemctl restart auditd
revoke命令時,審計日志將記錄相關信息。你可以通過以下命令查看審計日志:sudo ausearch -k revoke_cmd
這將顯示與revoke_cmd關鍵字相關的所有審計事件。你可以根據需要對輸出進行過濾和格式化。
請注意,這些步驟可能因不同的Linux發行版而有所不同。請參考你所使用的發行版的文檔以獲取更詳細的說明。
